Integrace s FortiGate SSL VPN (SAML)
Nastavení na straně 2Element
Je potřeba vytvořit novou chráněnou aplikaci (Nastavení-Chráněné aplikace-Přidat) typu SAML a zvolit konfigurační profil FortiGate - SSL VPN. Jako FortiGate SSL VPN URL nastavte HTTPS adresu pod kterou je SSL VPN dostupná z internetu - pokud není použit port 443, tak včetně portu (např. https://vpn.2element.io nebo https://vpn.2element.io:10443).
Pokud chcete zapnout ověřování podpisů SAML zpráv odeslaných z FortiGate, stáhněte certifikát kterým se budou zprávy podepisovat z FortiGate a nahrajte ho nebo vložte do pole Podepisující certifikát chráněné aplikace.
Po vytvoření chráněné aplikace je zobrazen její detail spolu s informacemi potřebnými v dalším kroku.
Nastavení na straně FortiGate
Nejprve je nutné naimportovat TLS certifikát kterým aplikace 2Element podepisuje SAML assertions (vrácené informace o uživateli) a následně vytvořit Single Sign-On konfiguraci.
Nejjednodušším způsobem je zobrazení CLI konfigurace pomocí tlačítka Zobrazit CLI konfiguraci v detailu chráněné aplikace. Zobrazenou konfiguraci je možné vložit do FortiGate CLI.
TLS certifikát je také možné stáhnout a naimportovat pomocí administračního rozhraní FortiGate (System-Certificates-Create/Import-Remote Certificate) a novou Single Sign-On konfiguraci je možné vytvořit pomocí průvodce v administračním rozhraní FortiGate (User & Authentication-Single Sign-On-Create New).
Podpora uživatelských skupin
Na FortiGatu vytvoříme novou skupinu typu Firewall a přidáme novou vzdálenou skupinu (Remote Groups-Add). Jako Remote Server vybereme 2Element SAML server vytvořený v předchozím kroku. Atribut Groups nastavíme na Specify a vyplníme název skupiny tak jak je uveden v aplikaci 2Element.
Diagnostika chyb
V případě nefunkčnosti integrace je možné na FortiGate zapnout výpis ladících informací:
diagnose debug application samld -1
diagnose debug application sslvpn -1
diagnose debug enable